A l'occasion de l'événement de hacking Pwn2Own 2021, les participants ont remportés 440 000$ grâce à la découverte de nouvelles vulnérabilités dans plusieurs produits Microsoft : l'outil collaboratif Teams, le serveur de messagerie Exchange et le système d'exploitation Windows 10. Mais ce n'est pas tout...
L'événement Pwn2Own 2021 s'est déroulé du 6 au 8 avril et au total les gains s'élèvent à 1 500 000$ en cash et cadeaux divers, comme une Tesla Model 3 par exemple. Cette édition a pu compter sur un total de 23 équipes et chercheurs en sécurité.
L'équipe Devcore a dénichée une faille de sécurité de type "exécution de code à distance" au sein d'Exchange, en associant une élévation des privilèges locaux au bypass de l'authentification. Grâce à cette trouvaille, ils ont pu remporter la somme de 200 000$ et 20 points Master of Pwn. Ces points permettent d'établir le classement de la compétition Pwn2Own.
Dans le même temps, un chercheur en sécurité a réalisé une exécution de code par l'intermédiaire de Teams en exploitant deux vulnérabilités différentes. Il a eu la même récompense que l'équipe de Devcore, à savoir 200 000$ et 20 points Master of Pwn.
Enfin, pour Windows 10, l'équipe Viettel est parvenue à réaliser une élévation de privilèges à partir d'un utilisateur standard pour obtenir au final les droits SYSTEM. La récompense est moins élevée pour Windows 10 : 40 000$ et 4 points Master of Pwn.
Les produits de Microsoft cités ci-dessus ne sont pas les seuls hackés à l'occasion du Pwn2Own 2021. Les équipes sont parvenues à trouver des vulnérabilités dans d'autres produits : Google Chrome ainsi que Edge (Chromium), Zoom Messenger, Ubuntu Desktop, macOS, VirtualBox de chez Oracle et Parallels Desktop.
Si l'on prend l'exemple de macOS, Jack Dates de chez RET2 Systems a découvert de jolies failles qui lui ont permis d'obtenir un accès avec des privilèges très élevés. En effet, il était en mesure d'exécuter du code sur macOS en utilisant directement les privilèges au niveau noyau. Grâce à son travail, il a pu obtenir une belle récompense de 100 000$. Pour le monde Unix, Ryota Shiga de Flatt Security a remporté la somme de 30 000$ puisqu'il a pu obtenir un accès root sur une machine Ubuntu Desktop.
Je vous laisse en compagnie du replay du jour 1 de la compétition...
Microsoft travaille sur une nouvelle fonctionnalité baptisée "Human Presence" et qui devrait voir le jour lors de la sortie de Windows 10 21H2. Son objectif : contrôler la présence d'un utilisateur devant son PC pour verrouiller ou déverrouiller la session.
La fonction "Human Presence" se présente sous la forme d'une API et elle se configure à l'aide des paramètres de Windows 10 et de trois paramètres que l'on pourra retrouver au sein des stratégies de groupe directement : Force instant lock, Force instant wake, et, Lock timeout. Voyons à quoi ils peuvent bien servir...
Force instant lock
Lorsque ce paramètre est actif, votre machine va se verrouiller automatiquement dès que vous n'êtes plus devant !
Comme pour la reconnaissance faciale avec Windows Hello, il faut disposer d'une webcam compatible pour utiliser cette fonctionnalité. Par exemple, la caméra frontale de la Surface Pro 7 est compatible Windows Hello et devrait donc être compatible avec Human Presence. Ceci n'est qu'un exemple, il y a de nombreux modèles qui prennent en charge la reconnaissance faciale et pas seulement des produits Microsoft.
Lock timeout
Ce second paramètre est directement lié au premier : la machine va se verrouiller lorsque vous n'êtes plus devant pendant un certain temps. En effet, si vous allez à la machine à café située à deux mètres et que vous revenez sur votre poste 30 secondes plus tard, ce n'est pas nécessaire de verrouiller votre machine. Plutôt que sur le temps, il serait possible de jouer également sur la distance entre vous et votre PC.
Force instant wake
À l'inverse, ce paramètre va permettre le déverrouillage automatique de votre machine : dès que vous revenez devant, la session sera accessible sans aucune action de votre part. Il ne sera pas utile de ressaisir votre mot de passe ou votre code PIN.
Ce type de solution existe déjà avec des logiciels tiers et il y a actuellement sous Windows 10 une fonctionnalité qui s'en rapproche : le verrouillage dynamique. Elle se base sur l'association entre votre PC et un appareil Bluetooth, par exemple votre smartphone, pour verrouiller automatiquement le PC si l'appareil en question s'éloigne. Avec Human Presence, on gagne en sécurité et en fiabilité puisque l'on se base sur la reconnaissance de l'utilisateur en lui-même, et non la présence ou non d'un appareil Bluetooth à proximité.
La marketplace sur internet est devenue l'endroit préféré de beaucoup de Français pour faire du shopping, surtout en cette période de pandémie où les achats en ligne connaissent un essor sans précédent. Et pour cause, il s'agit d'une plateforme numérique qui dispose d'une très grande sélection de produits de toute sorte, livrés directement chez soi, selon des délais défiant parfois toute concurrence. Permettant de faire un achat responsable qui bénéficie aux entreprises locales et à l'économie française, la marketplace du made in France a le vent en poupe en ce moment et est de plus en plus plébiscitée.
Une marketplace dédiée au made in France
La plus grande marketplace dédiée au made in France a ouvert ses portes en 2020. Il s'agit d'une marketplace made in France qui fait la part belle à la fabrication française et dont le catalogue est le plus vaste possible de toute la fabrication française ! Vous y découvrirez des produits exclusivement référencés, ce qui est une bonne nouvelle pour l'environnement et l'économie locale. Bien entendu, différentes fonctionnalités sont développées pour rendre l'achat facile, rapide et sécurisé.
Son principal avantage, c'est qu'elle permet réaliser des achats responsables. Au lieu d'enrichir des firmes situées en Asie ou en Amérique, vous allez favoriser le commerce local. Par ailleurs, que ce soit au niveau du choix des matières premières, du processus de fabrication ou du respect de l'environnement, la qualité des produits made in France est connue et reconnue. Acheter du made in France, c'est toujours un gage de qualité et de fiabilité.
Si vous voulez consommer des produits made in France, n'hésitez pas à découvrir ce type de plateforme. De plus, vous aurez l'assurance d'avoir un produit certifié fabriqué en France. Pas besoin de perdre du temps à étudier la provenance de chaque produit que vous envisagez d'acheter comme sur une marketplace traditionnelle.
Vous allez enfin pouvoir réaliser un achat numérique éthique et responsable ! Vous aurez un large choix de produits cosmétiques, d'articles textiles, de gadgets technologiques et informatiques, de produits culturels ou encore d'œuvres d'art. Un catalogue dédié au zéro déchet est également proposé pour que vous puissiez faire des achats éco-responsables sans bouger de chez vous !
Quelle est la différence entre une marketplace de produits made in France et les marketplaces internationales ?
Les marketplaces traditionnelles que les Français avaient l'habitude d'utiliser (un peu par défaut), se démarquent par l'achat à distance. Pour rappel, la marketplace met en relation les fabricants ou les vendeurs et les consommateurs. Les produits proviennent d'un peu partout dans le monde, mais surtout d'Asie. Le consommateur va parcourir un catalogue de produits, faire la transaction en ligne et attendre que le transporteur se charge de l'acheminement des produits depuis l'entrepôt à l'adresse de livraison.
L'achat en ligne, que ce soit via un site e-commerce ou une marketplace, permet de se faciliter la vie. Les consommateurs peuvent acheter à tout moment et n'importe où, même avec leur smartphone. Les principaux inconvénients de l'achat sur une marketplace internationale, c'est que l'achat peut réserver de mauvaises surprises (produits qui ne correspondent pas à la commande, contrefaçons, frais importants et souvent imprévisibles -frais de port, taxes…-, provenance occultée, ingrédients controversés…). Le SAV laisse souvent à désirer avec les martketplaces traditionnelles. Avec la quantité d'offres très importante, les vendeurs peuvent avoir du mal à se faire repérer sur les grandes marketplaces.
Contrairement à ces marketplaces internationales géantes, la marketplace du made in France propose une offre plus précise. Vous aurez exclusivement des produits fabriqués en France, ce qui vous garantit des produits de haute qualité, adaptés à vos attentes et à tous les budgets. Même si le catalogue est plus restreint que sur une marketplace internationale, vous bénéficierez quand même d'un très large choix. En effet, plus de 500 fabricants français proposent des produits variés, adaptés à tous les besoins.
Comme l'acheminement des produits est plus court, l'achat sera plus respectueux de l'environnement (réduction de votre empreinte carbone) et les frais réduits. Sur une marketplace dédiée au made in France, les incidents restent très rares et la livraison se fait beaucoup plus rapidement.
Pourquoi acheter sur une marketplace ?
La marketplace a l'avantage de proposer un catalogue très large. Vous serez ainsi sûr(e) de trouver ce qu'il vous faut. Vous achetez tout le nécessaire sans sortir de chez vous : appareils électroménagers, appareils technologiques, accessoires de décoration, mobilier, vêtements, chaussures et accessoires de mode, produits de luxe, pièces détachées…
Aujourd'hui, plus d'un achat sur deux est réalisé sur une marketplace et c'est un chiffre qui continue de croître de manière constante, notamment avec la crise sanitaire actuelle.
Grâce à la place de marché française, vous allez pouvoir faire des achats sécurisésqui profitent à l'économie française. La marketplace du made in France paie ses impôts en France, fait vivre les fabricants et les vendeurs locaux et assure la pérennité de milliers d'emplois.
Quels sont les avantages d'une marketplace de produits made in France ?
Tant pour les consommateurs que pour les vendeurs, la marketplace présente différents avantages.
Pour l'acheteur, la marketplace donne l'opportunité de pouvoir commander plusieurs types de produits sur plusieurs boutiques en un seul achat, d'avoir un grand choix d'offres et de produits pour bien comparer. Il va également avoir l'assurance d'acheter des produits made in France, de haute qualité et souvent garantis. Par ailleurs, le SAV est plus direct, efficace et réactif sur un site dédié aux produits made in France que sur les sites traditionnels comme Alibaba, Aliexpress voire Amazon. Enfin, c'est toujours agréable de faire son shopping comme si l'on se trouvait dans un grand centre commercial virtuel !
Pour le vendeur, collaborer avec une marketplace 100% made in France permet de profiter d'une plus grande visibilité. Ses produits seront beaucoup plus mis en valeur, d'autant plus que les visiteurs de ce type de place de marché sont des amateurs du made in France.
Il va également pouvoir profiter de la popularité de la marketplace. De plus, il va pouvoir s'affranchir des différents détails techniques (optimisation du site, système de paiement, sécurisation des achats…). Certaines marketplaces prennent également en charge le SAV à la place des vendeurs.
Les Américains de chez Cisco en ont marre de l'authentification par mots de passe ! Cisco va faire évoluer cet été sa solution Cisco Duo pour proposer la fonctionnalité "Passwordless Authentication", c'est-à-dire l'authentification sans mot de passe.
Sans négliger l'aspect sécurité, Cisco Duo va permettre de se connecter à un service sans saisir son mot de passe, mais simplement en s'appuyant à la place sur des clés de sécurité ou des éléments biométriques.
Petit retour en arrière : en 2018, Cisco a racheté la société Duo, ce qui a donné lieu par la suite à la solution Cisco Duo, aujourd'hui utilisée par plus de 25 000 entreprises. Grâce cette solution et cette acquisition, Cisco a pu ajouter des services basés sur l'authentification multifacteurs à sa solution Cisco Zero Trust Security. Aujourd'hui, Duo est compatible avec des centaines d'applications pour sécuriser la connexion d'un utilisateur, peu importe l'appareil utilisé.
La fonction Passwordless Authentication de Cisco Duo s'appuie sur la norme d'authentification Web nommée WebAuthn. Ensuite, c'est de la cryptographie asymétrique qui va entrer en jeu : grâce au chiffrement et à une paire de clés. La clé privée est stockée sur l'appareil de l'utilisateur tandis que la clé publique correspondante reste sur le serveur (et elle s'associe à un identifiant). Si un pirate souhaite compromettre le compte de l'utilisateur, il doit disposer de la paire de clés au complet. En complément, il faut savoir que chaque paire de clés est unique pour chaque site.
Lorsque Cisco parle d'éléments biométriques pour l'authentification sans mot de passe, cela signifie exploiter des fonctions bien connues pour générer les clés. Par exemple, sur les smartphones on parle de fonctions comme FaceID ou TouchID chez Apple : reconnaissance faciale et d'empreintes biométriques. Au niveau de Windows, on retrouve également une fonctionnalité de reconnaissance faciale par l'intermédiaire de Windows Hello, sous réserve d'avoir une webcam compatible.
Grâce à cette nouveauté, on complique la tâche pour les pirates d'une part, et on facilite la gestion des mots de passe pour l'utilisateur d'autre part. Même s'il existe d'excellents gestionnaires de mots de passe, ces derniers ne sont pas utilisés par tout le monde. Cisco n'est pas la seule entreprise s'intéresser à l'authentification sans mot de passe puisque d'autres éditeurs travaillent sur le sujet également, comme Lastpass. Avec cette nouvelle tendance, peut-être que d'ici quelques années les mots de passe "Password" et "123456" deviendront moins utilisés...
Dans cet article, nous allons passer en revue quelques méthodes et outils que peuvent utiliser les entreprises afin de se protéger des attaques par phishing. Les méthodes présentées dans cet article vont surtout permettre d'avoir une démarche proactive et une analyse sur les campagnes de phishing potentiellement en cours ou passées, et ce en utilisant les méthodes de l'OSINT (Open Source Intelligence ou renseignement par source ouverte).
II. Recherche et détection de noms de domaine
Dans un premier temps, il est important de s'intéresser aux noms de domaine possédés par votre entreprise, une technique couramment utilisée par les attaquants est d'acheter un nom de domaine ressemblant fortement au vôtre afin de tromper les utilisateurs. En cela, plusieurs techniques visant à tromper l'œil et le cerveau humain sont utilisées, en voici quelques exemples basés sur le nom de domaine redbull.com (liste non exhaustive) :
Mot-clé : Le nom de domaine contient un mot-clé important provenant du nom de domaine original (ex : rh-redbull.com)
Tiret : Changer le point par un tiret sur un sous-domaine (ex: www-redbull.com).
Nouveau TLD : Utiliser le domaine avec un TLD non enregistré (ex : redbull.xyz)
Homoglyphe : Remplacer les lettres par des lettres qui se ressemblent ou une lettre proche sur le clavier (ex : reclbull.com, rzdbull.com).
Transposition : Inverse la position de deux lettres dans le nom de domaine (ex : rebdull.com).
Singularisation/Pluralisation: Ajouter ou supprimer un s à la fin d'un nom de domaine (ex : redbulls.com).
Omission/Répétition: Répéter ou supprimer une lettre du nom de domaine (Ex: redbul.com, redbulll.com)
Sous-domaine : Ajouter un point dans le nom de domaine (Ex: red.bull.com).
Insertion : Insérer une lettre dans le nom de domaine (Ex: rezdbull.com).
etc.
Il va de soi que tous ces noms de domaine n'appartiennent pas à la société Redbull, même si ils se ressemblent. Ce fait est pourtant difficile à concevoir pour un utilisateur "non technique". Toutes ces techniques sont l'assurance d'un succès pour un attaquant lorsque suffisamment d'utilisateurs sont ciblés, notamment pour des utilisateurs non sensibilisés.
Afin de détecter au plus tôt l'utilisation de ces techniques par un attaquant, différents outils peuvent être utilisés pour générer une liste de noms domaine sur lesquels ces types de modifications sont appliquées, puis de vérifier si ces noms de domaine sont enregistrés, voire utilisés à des fins de phishing.
# OS Linux
git clone https://github.com/elceef/dnstwist.git
cd dnstwist
pip install
# Kali Linux
apt install dnstwist
Celui-ci va générer une liste de noms de domaine à partir d'une entrée fournie en utilisant les méthodes citées précédemment. Pour chaque nom de domaine, il vérifiera son enregistrement auprès d'un serveur DNS mondial, ce qui vous permettra de détecter des cas suspects rapidement. Voici un exemple en utilisant le nom de domaine credit-agricole.fr :
Utilisation de l'outil dnstwist pour trouver des dérivés du domaine crédit-agricole.fr enregistrés
Sur la capture d'écran ci-dessus ne sont affichés que les noms de domaine ayant effectivement un enregistrement DNS. La première chose à remarquer ici est que le serveur DNS chenar.credit-agricole.fr et le MX mercure.credit-agricole.fr reviennent plusieurs fois. On peut donc savoir qu'il s'agit des serveurs DNS de la véritable entité du Crédit Agricole et que les noms de domaine qui y sont enregistrés sont bien maitrisés. D'autres noms de domaine enregistrés avec des serveurs DNS, qui eux n'apparaissent qu'une fois comme crdit-agricol.fr ou credit-agricolle.fr, semblent plus suspects.
On peut voir ici plusieurs éléments :
des noms de domaine que l'entreprise a choisi d'acheter afin de se protéger des attaques par phishing ou de la dégradation de son image
des noms de domaine achetés par d'autres entités, soit pour du simple cybersquatting, soit pour du phishing
Éventuellement des noms de domaine achetés par les prestataires de test d'intrusion ayant effectivement acheté des noms de domaine similaires pour tester la sensibilisation des utilisateurs
Une fonctionnalité intéressante de dnstwists est qu'il peut générer une sortie au format CSV, ce qui facilite les potentielles automatisations de ces vérifications. Vous pourrez alors facilement créer une tâche planifiée qui se chargera de vous envoyer un mail si une nouvelle entrée apparaît, signe potentiel d'une attaque par phishing en cours, ou simplement garder un historique des différentes exécutions.
Le second outil est urlcrazy, qui a une démarche similaire, mais lorsque l'on parle d'outils open source, il est bon d'en connaitre plusieurs, car leur développement peut parfois s'arrêter sans prévenir. Celui-ci peut également être téléchargé sur Github : https://github.com/urbanadventurer/urlcrazy.git.
# OS Linux
git clone https://github.com/urbanadventurer/urlcrazy.git
sudo apt install ruby
gem install bundler
bundle install
gem install json colorize async async-dns async-http
# Kali Linux
apt install urlcrazy
L'outil urlcrazy permet notamment de renseigner la disposition du clavier (qwerty, azerty, qwertz, dvorak) afin de simuler au mieux les éventuelles fautes de frappe couramment faites par les utilisateurs :
Utilisation de l'outil urlcrazy pour trouver des dérivés du domaine crédit-agricole.fr enregistrés
À nouveau, des exports CSV peuvent être réalisés et je vous invite à découvrir par vous-même les quelques options de personnalisation qu'urlcrazy propose.
À la suite de la génération de noms de domaine et de leur vérification par ces deux outils, plusieurs actions peuvent être menées :
récolter des informations sur ces noms de domaine, pour par exemple savoir s'il s'agit d'un achat de nom de domaine pour du cybersquatting (auquel cas les entreprises ne s'en cachent pas vraiment), de connaitre l'âge du domaine et le registrar utilisé :
whois crdt-agricole.fr
identifier les interfaces web présentes sur ces noms de domaine, notamment en utilisant Aquatone.
Aquatone est un outil qui permet de prendre des captures d'écran et de récolter des informations sur les en-têtes de services web éventuellement présents à partir d'un fichier contenant une liste de noms de domaine. Il s'agit d'un simple binaire qui peut être trouvé ici : Aquatone
Après avoir mis tous les noms de domaine récoltés via dnstwist et urlcrazy dans un simple fichier texte, on utilise se dernier avec aquatone :
cat domaines.txt |aquatone
Ce dernier va alors tenter d'établir une connexion vers chacun des noms de domaine et si il présente une interface web (sur une liste plus ou moins longue de ports en fonction des options utilisées), y récolter des informations qui seront synthétisées dans une page HTML :
Résultat de l'utilisation d'aquatone sur une liste de noms de domaine à vérifier
Identifier un potentiel port 3333 ouvert sur l'IP correspondant au nom de domaine à vérifier, pouvant trahir la présence potentielle d'un portail gophish
Ajouter ces noms de domaine dans liste noire des proxy d'entreprise et pare-feu centralisés afin d'éviter que vos utilisateurs ne puissent être piégés
III. Google & moteurs de recherche
Une seconde méthode qui peut être utilisée est simplement l'utilisation de moteurs de recherche. De simples Google Dorks peuvent mener à la découverte de pages de phishing et d'autres moteurs de recherche, plus avancés, peuvent se révéler pertinents.
Prenons l'exemple de la page d'authentification de l'espace client Orange, celle-ci comporte plusieurs éléments qui lui sont propres, à commencer par le texte "Indiquez votre compte Orange" :
Page de login Orange
Cet élément caractéristique d'une page peut être utilisé afin de voir si d'autres sites n'utilisent pas le même, dans notre cas, il y aurait de très grandes chances qu'il s'agisse de page de phishing. Avec la requête Google suivante : intext:"Indiquez votre compte Orange" -inurl:"orange.fr", je tombe très rapidement sur plusieurs pages de phishing :
Page de phishing Orange trouvée via Google
Ici, j'ai utilisé l'option de recherche intext pour rechercher une suite de caractères précise qui devrait se trouver dans la code source de la page et ai exclu (-inurl) tous les résultats comportant orange.fr dans le nom de domaine, afin de ne pas me retrouver avec de vrais sites appartenant à Orange (ce n'est pas le but de ma recherche).
Même chose ici pour une page d'authentification PayPal :
Page de phishing PayPal trouvée via Google
D'autres moteurs de recherche spécialisés existent afin d'effectuer ce type de recherche, je pense notamment à publicWWW. Ce dernier est payant et je n'ai donc pas pu le tester autant que je l'aurais voulu, mais il permet d'effectuer une recherche sur des éléments techniques (le code source) comme une suite de balises HTML que l'on retrouverait avec exactitude dans d'autres pages web. Sur ce principe, il devient aisé de faire une recherche sur quelques balises caractéristiques du code source de votre page d'authentification (images importées, nom d'un répertoire, etc.).
A noter que les pages de phishing sont rarement finement conçues, les attaquants utilisent la plupart du temps une image qui représente le menu, pied de page et tout ce qui n'est pas utile. Seul le code source du formulaire d'authentification est réellement constitué de balises HTML. En cela, il est courant que les attaquants ne se contentent que de reprendre le code CSS utilisé afin de coller au mieux à ce que les utilisateurs ont l'habitude de voir (couleurs, forme des boutons, etc.). Les noms des fichiers CSS et de leurs fonctions sont donc une bonne base de recherche.
IV. Transparence des certificats
Les certificats SSL sont, dès qu'ils sont créés, considérés comme publics. Ceux-ci contiennent un grand nombre d'informations qui peuvent être utilisées afin de savoir quels sont les domaines nouvellement créés, puisqu'un certificat SSL va contenir tous les domaines pour lesquels il est considéré comme valide. La démarche de la transparence des certificats est détaillée ici : https://certificate.transparency.dev/
Divers projets permettent d'effectuer des recherches sur les certificats SSL, nouveaux comme anciens. On peut alors utiliser ces informations pour détecter des certificats SSL créés pour des noms de domaine similaires aux nôtres. La solution la plus simple pour attaquant étant d'utiliser la technique du mot de clé (redbull-rh.com, paypal-credit.com, etc.)
Plusieurs sites, gratuits ou payants, existent pour réaliser ce type de recherche. Le plus facile d'accès étant https://crt.sh/. Ce dernier permet d'effectuer des recherches sur les certificats contenant une chaine de caractères précise, par exemple le mot clé principal de votre nom de domaine :
Utilisation de crt.sh pour découvrir des noms de domaine par mot-clé
Également, il y a le projet https://github.com/x0rz/phishing_catcher, qui se base sur https://certstream.calidog.io/, monitor et affiche en direct les nouveaux certificats créés. Ces derniers peuvent être intéressants afin de mettre en place, dans la durée, une surveillance des potentielles attaques de phishing pouvant cibler vos utilisateurs.
Phishing catcher se base sur une liste de mots pour appliquer un score à un nom de domaine, cette liste étant bien sûr personnalisable pour être adaptée à votre contexte, pour par exemple faire en sorte que tous les noms de domaine contenant un de vos noms de domaine ou un dérivé/une mutation, apparaissent un rouge :
Utilisation de phishing catcher (configuration par défaut)
Au bout de quelques instants, je détecte par exemple un nom de domaine pouvant paraitre suspect, utilisant un tiret au lieu d'un point pour créer un sous-domaine :
En personnalisant la configuration, notamment pour y supprimer la surveillance de noms de domaine qui ne vous intéressent pas et en y ajoutant les noms de domaine détenus par votre entreprise, vous pourrez faire en sorte de détecter au plus tôt les créations de noms de domaine similaires au votre. Par défaut, l'outil phishing catcher applique une permutation de lettre sur les noms de domaine à surveiller. Aussi, je vous invite à explorer sa configuration pour l'utiliser au mieux.
V. Conclusion
Avec ce type de solution correctement configurée, il vous sera possible de détecter des tentatives de phishing dès l'étape de mise en place du "piège" par l'attaquant, peut-être même avant qu'il n'envoie un premier mail. Bien sûr, aucune solution magique n’existe en sécurité et toutes ces méthodes doivent être complétées par les protections habituelles, notamment par la sensibilisation des utilisateurs.
Au cours de mes recherches, j'ai également noté que de nombreuses grandes entreprises (paypal, booking, leboncoin, etc.) font appelle à des sociétés externes spécialisées afin de prendre en charge la protection de leur nom de domaine. Ces sociétés proposent notamment l'achat des noms de domaine libres pouvant être utilisés pour nuire à une entreprise, voir le rachat des noms de domaine actuellement utilisés par les attaquants (je ne sais en revanche pas comment ils s'y prennent).
Toutefois, je remarque que pour des sites web très connus et grand public, il est assez aisé de trouver des pages de phishing actives, dont certaines sont là depuis assez longtemps (puisque parfois référencées sur Google). Pour des entreprises de taille plus modeste et potentiellement moins fréquemment ciblée par les attaquants, je pense qu'un monitoring régulier au travers la recherche des noms de domaine et en utilisant la transparence des certificats permet d'avoir une solution pertinente.
Force instant lock
